Rynek dostawców antywirusów jest mocno rozdrobniony i nie chodzi tutaj wyłącznie o ich liczbę, ale również ich geografię. W wielu obszarach IT wyścig technologiczny toczy się pomiędzy producentami z Ameryki Północnej oraz Azji. Nieco inaczej wygląda sytuacja w segmencie rozwiązań do ochrony urządzeń końcowych. Niepoślednią rolę odgrywają na nim firmy z Europy Wschodniej – słowacki Eset, rumuński Bitdefender, rosyjski Kaspersky Lab czy czeski Avast (niedawno kupiony przez Nortona za 8 mld dol.). Do tego grona można dodać niemiecką G Datę, a także nieźle radzącą sobie polską markę Arcabit.

Jednak czy kraj, z którego pochodzi producent oprogramowania antywirusowego ma jakiekolwiek znaczenie dla klientów? Zdania na ten temat są podzielone. Czasami firmy z branży security promują produkty na lokalnym rynku, kładąc akcent na swoje bardzo bliskie związki z regionem. O ile taka forma reklamy żywności jest zrozumiała, o tyle w przypadku oprogramowania zabezpieczającego może budzić pewnego rodzaju zdziwienie. Część ekspertów tłumaczy tę formę przekazu narastającą liczbą cyberataków, które koncentrują się na wybranych państwach.

– W Polsce mamy do czynienia z tym zjawiskiem od około trzech lat. Niemal każda taka kampania hakerska jest doskonale przygotowana i wkomponowana w nasze rodzime realia. To dotyczy warstwy językowej i wykorzystania wizerunków lokalnych firm oraz instytucji. Skuteczna ochrona przed tego typu atakami opiera się na dwóch filrach: błyskawicznej reakcji oraz permanentnie aktualizowanych mechanizmach blokujących – wyjaśnia Grzegorz Michałek, CEO Arcabitu.

Zdaniem części resellerów taka forma promocji pomaga zwiększyć sprzedaż produktu. Grzegorz Świrkowski, CEO w Net Complex, przyznaje, że dobra znajomość lokalnej infrastruktury i rynku, a także dostosowanie się do prawa obowiązującego w danym państwem, mogą stanowić poważne argumenty w negocjacjach z klientami. Nierzadko zdarza się, że rodzimi przedsiębiorcy niemal z automatu odrzucają oprogramowanie pochodzące z Chin lub Rosji. Jednak nie brakuje też odmiennych opinii.

– W czasach globalnej wioski nie ma żadnego znaczenia, skąd pochodzi producent oprogramowania bezpieczeństwa, zresztą to samo dotyczy napastnika. Metody działania są wszędzie identyczne i oparte na podobnych schematach – twierdzi Miłosz Jaworski, Networking and IT Security Consultant w AB.

Ransomware jest wszędzie

Być może trudno w to uwierzyć, ale historia oprogramowania ransomware liczy sobie już 32 lata. W 1989 r. na konferencji Światowej Organizacji Zdrowia poświęconej AIDS uczestnicy otrzymali dyskietki z trojanem, który zablokował im dostęp do plików znajdujących się na ich komputerach. Napastnicy żądali za odszyfrowanie danych jedynie 189 dol. Co bardziej złośliwi mogą powiedzieć, że dostawcy systemów bezpieczeństwa mieli mnóstwo czasu, aby odpowiednio przygotować się na walkę z gangami ransomware. Tak się nie stało, bo jak na razie górą są ci drudzy. W ciągu trzech dekad nie tylko wprowadzili wyrafinowane techniki ataku, ale także niemiłosiernie podwyższyli stawki za odszyfrowanie danych – najwyższe sięgają obecnie kilku milionów dolarów.

Analitycy z Cybersecurity Ventures wyliczają, że w najbliższej dekadzie koszty ataków ransomware przekroczą 265 mld dol. Dostawcy systemów bezpieczeństwa zrobią wiele, aby powyższa prognoza się nie sprawdziła. To nie będzie łatwe zadanie, między innymi ze względu na dużą liczbę gangów ransomware oraz metody, którymi się posługują. W sierpniu bieżącego roku systemy telemetryczne Bitdefendera wykryły w lipcu 372 rodziny oprogramowania ransomware, a w sierpniu 250 odmian. Lekko nie mają między innymi polskie przedsiębiorstwa.

– Dostrzegliśmy drastyczny wzrost wykorzystania ransomware przeciwko polskim firmom. W pierwszym tygodniu września liczba tego typu incydentów wzrosła w kraju aż o 80 proc. – mówi Wojciech Głażewski, szef lokalnego oddziału Check Pointa.

Od pewnego czasu hakerzy nie tylko szyfrują dane, ale grożą ich upublicznieniem, jeśli ofiara nie zapłaci haraczu. Inna, nieco rzadziej stosowana forma, polega na użyciu dwóch rodzajów złośliwego oprogramowania. W tym przypadku poszkodowana firma, pomimo opłaceniu okupu i otrzymania deszyfratora, wciąż nie ma dostępu do plików.

Producenci antywirusów i systemów do ochrony danych poszukują sposobów, aby powstrzymać napastników. Jedna z koncepcji zakłada unifikację rozwiązań backupu i odzyskiwania danych oraz antywirusów.

– Próba połączenia przez jednego dostawcę funkcjonalności antywirusowej i narzędzi do backupu jest z pewnością ciekawym sposobem na wyróżnienie się na rynku. Taką strategię stosuje Acronis, z którym współpracujemy od ubiegłego roku. Ta oferta spotkała się z bardzo przychylnym przyjęciem wśród naszych resellerów, a więc myślę, że to dobry pomysł – przyznaje Paweł Jurek, wicedyrektor ds. rozwoju w Dagmie.

Jednak nie wszystkim podoba się ten rodzaj integracji. Zdaniem Grzegorza Świrkowskiego, oprogramowanie antywirusowe nie daje gwarancji skutecznej walki z ransomwarem, zaś system do backupu nie zawsze potrafi przywrócić do pracy całe środowisko. Dlatego też w walce z tym rodzajem złośliwego oprogramowania trzeba działać prewencyjnie, używając narzędzi pochodzących od różnych vendorów. Choć antywirusy uważa się za ważny element zabezpieczenia przed ransomwarem, nie zawsze należycie wywiązują się z tej roli, często nie radząc sobie z najnowszymi rodzajami oprogramowania. Ponadto w zasadzie nie można zapobiec błędom ludzkim, ponieważ nawet świadomi użytkownicy mogą odruchowo kliknąć zainfekowany link. Praktycznie każdy liczący się dostawca antywirusów posiada moduł anti-ransomware, a także oferuje dodatkowo sandboxing – izolowane i bezpieczne środowisko sieciowe, w którym uruchamiane są nieznane pliki w celu analizy ich zachowania. Tak czy inaczej lepiej wykupić subskrypcje na oprogramowanie antywirusowe niż płacić hakerom średnio 36 295 dol. i ponieść straty wizerunkowe.

Ekran ważniejszy niż dane

O ile użytkownicy z coraz większą rozwagą podchodzą do ochrony komputerów, o tyle zabezpieczenia smartfonów bądź tabletów nadal pozostawiają wiele do życzenia. Jak na razie ich właściciele bardziej dbają o ochronę ekranu aniżeli informacji przechowywanych na urządzeniu. Ciekawe dane na ten temat przynoszą wyniki badania „2021 Bitdefender Global Report: Cybersecurity and Online Behavior”. Otóż wynika z nich, że 35 proc. respondentów nie instaluje antywirusa na smartfonach, 30 proc. uważa takie zabezpieczenie za niepotrzebne, zaś 18 proc. wychodzi z założenia, że znajduje się ono na wyposażeniu standardowym telefonów. Jednakże 61 proc. ankietowanych już miało do czynienia z co najmniej jednym atakiem skierowanym na urządzenia mobilne. Dlatego też można być pewnym, że prędzej czy później narastająca liczba tego typu incydentów wymusi na użytkownikach inwestycje w rozwiązania ochronne. Zresztą niektórzy dostawcy odnotowują rosnące zainteresowanie rozwiązaniami bezpieczeństwa dla smartfonów i tabletów.

– Nierzadko urządzenia mobilne zawierają więcej cennych danych, niż laptopy bądź komputery stacjonarne. W niedalekiej przeszłości były one mocno zaniedbane w kontekście bezpieczeństwa. Ta tendencja w ostatnich latach została odwrócona. Coraz większy nacisk kładzie się na ochronę urządzeń mobilnych zarówno w kontekście korporacji i technologii BYOD, jak i urządzeń prywatnych – zauważa Miłosz Jaworski.

Na rynku dostępna jest szeroka gama produktów przeciwdziałających już nie tylko oprogramowaniu malware, ale również atakom sieciowym czy phishingowi. Pewnego rodzaju uzupełnienie dla antywirusów stanowią systemy Mobile Device Management (MDM). Wprawdzie ich podstawowym zadaniem jest zarządzanie flotą urządzeń, aczkolwiek pomagają chronić aplikacje, dokumenty, treści i dane, a jednocześnie nadzorować dostęp i tożsamość użytkowników.

– Z jednej strony klienci szukają jak najbardziej rozbudowanych systemów MDM, a z drugiej oczekują skutecznej ochrony antywirusowej dla swoich urządzeń. Niestety zwykle ciężko jest pogodzić jedno i drugie. Dlatego też najczęstszym wyborem jest zakup obu tych rozwiązań – przyznaje Karol Labe, CEO Miecz Netu.

EDR i co dalej?

Wiele przemawia za tym, że czasy prostych antywirusów instalowanych na urządzeniach końcowych powoli zbliżają się ku końcowi. Owszem, ten segment rynku nie zniknie z dnia na dzień, a użytkownicy indywidualni szybko nie zrezygnują z prostych zabezpieczeń. Niemniej producenci najwyraźniej ewoluują w kierunku tworzenia zaawansowanych rozwiązań.

– Duzi gracze rozwijają technologie własnymi zasobami, albo przejmują najbardziej obiecujące startupy. Dlatego też spodziewam się, że coraz więcej dostawców rozwiązań potocznie zwanych „antywirusami” będzie z czasem oferować coraz bardziej złożone, „wszystko mające” pakiety ochronne – mówi Paweł Jurek.

W ciągu ostatnich dwóch lat dużą popularność – nie tylko na polskim rynku – zyskały systemy Endpoint Detection and Response (EDR). Ich zastosowanie zapewnia stały wgląd w to, co dzieje się w sieci, analizuje zachodzące procesy i powiązania między nimi, jak też kontroluje wpisy pojawiające się w rejestrze. Oprogramowanie po wykryciu nietypowej aktywności tworzy alert dla analityków bezpieczeństwa.

– Fundamentalna różnica w zakresie ochrony między rozwiązaniem klasy EDR, a rozwiązaniem antywirusowym tkwi właśnie w założeniu, że to, czego automatycznie antywirus nie może zatrzymać z uwagi na „niejednoznaczność” oceny, ma być właśnie analizowane w szerszym kontekście przez specjalistów od bezpieczeństwa – wyjaśnia Paweł Jurek.

Niestety, największy walor EDR-ów jest zarazem barierą utrudniającą adaptację takich rozwiązań w mniejszych przedsiębiorstwach. MŚP z reguły nie zatrudniają fachowców, którzy potrafią analizować zapisy oprogramowania. W tego typu sytuacjach jedynym ratunkiem może być skorzystanie z modelu usługowego Managed Detection and Response (MDR), który świadczą zarówno producenci, jak i ich partnerzy. Miłosz Jaworski uważa, że w niezbyt odległej przyszłości na rynku pojawią kolejne nowości, w tym wersje przeznaczone dla małych i średnich firm. AI czy Machine Learning lub automatyczny Threat Hunting w pewnym zakresie powinny ograniczyć potrzebę utrzymywania wysokiej klasy specjalistów od bezpieczeństwa.

Trzeba podkreślić, że na horyzoncie widać już systemy klasy Extended Detection and Response (XDR), będące rezultatem ewolucji EDR. Oprogramowanie optymalizuje wykrywanie zagrożeń, ich badanie oraz poszukiwanie w czasie rzeczywistym. Ponadto ujednolica i automatycznie koreluje informacje pochodzące z punktów końcowych, poczty elektronicznej, serwerów, obciążeń chmury i sieci. Forrester prognozuje, że technologia XDR zastąpi w niezbyt odległej przyszłości systemy EDR, a w dłuższej perspektywie czasu oprogramowanie Security Information and Event Management (SIEM). Choć nawet, jeśli nastąpi tutaj zmiana warty, trzeba będzie na nią poczekać co najmniej kilka lat.

Zdaniem specjalisty

Grzegorz Nocoń, inżynier systemowy, Sophos Grzegorz Nocoń, inżynier systemowy, Sophos  

Podstawową funkcją każdego antywirusa jest zabezpieczenie stacji roboczych i serwerów zarówno przed znanymi, jak i nowymi zagrożeniami. W dobie pandemii i pracy zdalnej okazało się, że administratorzy muszą mieć możliwość nie tylko zarządzania, ale też aktualizacji urządzeń łączących się z firmową siecią zdalnie – a nie jak dotąd, bazując na lokalnej sieci i serwerach aktualizacyjnych. Ważny element ochrony stanowi wyposażenie oprogramowania w dodatkowe moduły, które umożliwią aktywne analizowanie danych dostępnych na stacjach, wyszukiwanie luk w oprogramowaniu i korelacji zdarzeń inicjowanych przez poszczególne procesy. Kluczowa jest również pełna integracja wszystkich rozwiązań związanych z bezpieczeństwem sieci. Natomiast globalnym trendem na rynku antywirusów będzie rozwój rozwiązań XDR.

  
Robert Dziemianko, Marketing Manager, G Data Robert Dziemianko, Marketing Manager, G Data  

Granice nie stanowią problemu dla cyberprzestępców. Ewentualnie eksperci ds. cyberbezpieczeństwa mogą być bardziej wyczuleni na socjotechniki osadzone w lokalnych kontekstach, czego przykładem są ostatnie doniesienia medialne o oszustwie „na Andrzeja Dudę”. Inną kwestią mogą być krajowe przepisy dotyczące współpracy ze służbami. W przeciwieństwie do niemieckich firm, amerykańscy czy rosyjscy producenci nie posiadają żadnych instrumentów ani mechanizmów prawnych, pozwalających im na uniknięcie nacisków ze strony państwa. Od momentu wprowadzenia ustawy USA Patriot Act w 2001 roku, każda amerykańska firma jest prawnie zobligowana do współpracy z takimi agencjami, jak NSA czy CIA. Ten obowiązek dotyczy także producentów rozwiązań antywirusowych czy też innych rodzajów oprogramowania komputerowego.

  
Grzegorz Michałek, CEO, Arcabit Grzegorz Michałek, CEO, Arcabit  

W mojej ocenie w ogóle cała branża ochrony będzie przenosić się w obszary typu EDR i XDR. Dotyczy to szczególnie dużych firm i instytucji pracujących w oparciu o rozległe sieci i rozproszone zbiory zasobów, w których ataki i naruszenia „rozlewają się” po strukturach przedsiębiorstwa i są nie do zatrzymania przez klasyczne mechanizmy ochrony. Czynnikiem ograniczającym zarówno sprzedaż, jak i skuteczność tego typu mechanizmów jest oczywiście czynnik ludzki i brak wykwalifikowanych specjalistów, którzy potrafią stać się wiarygodnym elementem struktury EDR czy XDR. Dlatego głównym wyzwaniem stojącym przed producentami jest automatyzacja procesów decyzyjnych klasyfikujących zdarzenia.